Support #28147
Utilisateurs LDAP en double
0%
Description
Bjr,
Nous avons régulièrement des utilisateurs qui se retrouvent en double dans la base de données Authentic2 (voir exemple ci-joint).
Nous soupçonnons ces utilisateurs en doublon d'avoir été déplacés d'une OU à une autre (mais nous n'avons pas eu de confirmation ferme sur ce sujet).
Ce comportement est-il connu ou normal ? Le DN LDAP sert-il de clé à un endroit ou à un autre dans Authentic2 ? Si oui, existe-t-il une option pour changer ce comportement ?
Merci d'avance.
Fichiers
Historique
Mis à jour par Benjamin Dauvergne il y a plus de 5 ans
La clé utilisée pour dédoublonner les comptes LDAP dépend de la configuration, il y a longtemps c'était le DN mais désormais c'est l'uid/samaccountname. Il faut d'abord regarder dans quel cas vous vous trouvez.
Mis à jour par Clément Véret il y a plus de 5 ans
Benjamin Dauvergne a écrit :
La clé utilisée pour dédoublonner les comptes LDAP dépend de la configuration, il y a longtemps c'était le DN mais désormais c'est l'uid/samaccountname. Il faut d'abord regarder dans quel cas vous vous trouvez.
Ça correspondrait à ça :
"external_id_tuples": [["samaccountname"], ["dn:noquote"]],
?
Si c'est le cas, je peux mettre n'importe quoi comme champs LDAP dedans ?
Mis à jour par Benjamin Dauvergne il y a plus de 5 ans
Clément Véret a écrit :
Benjamin Dauvergne a écrit :
La clé utilisée pour dédoublonner les comptes LDAP dépend de la configuration, il y a longtemps c'était le DN mais désormais c'est l'uid/samaccountname. Il faut d'abord regarder dans quel cas vous vous trouvez.
Ça correspondrait à ça :
"external_id_tuples": [["samaccountname"], ["dn:noquote"]],
Tout à fait.
Si c'est le cas, je peux mettre n'importe quoi comme champs LDAP dedans ?
Oui mais normalement pour un simple changement d'OU samaccountname aurai du suffire, attention ça ne dédoublonne que pour un seul "realm", si tu as deux configurations LDAP qui présentent les mêmes identifiants, il faut que les clés "realm" soient égales (et donc la clé réelle pour un utilisateur c'est le couple "realm" + la construction "extenal_id_tuples"), tu peux aussi passer par objectGUID sur AD ou entryUUID sur OpenLDAP et dérivés (mais sur OpenLDAP si ce n'est pas de la réplication native je ne pense pas que ça marche).
Mis à jour par Benjamin Dauvergne il y a plus de 5 ans
- Statut changé de Nouveau à Information nécessaire
- Assigné à changé de Benjamin Dauvergne à Clément Véret
Est-ce que ce souci est corrigé ?
Mis à jour par Clément Véret il y a plus de 5 ans
Benjamin Dauvergne a écrit :
Est-ce que ce souci est corrigé ?
Pas tout-à-fait. Nous pensions que le souci était uniquement lié à la clé (et c'est effectivement vrai pour les gens qui changent d'OU dans les différents annuaires fédérés et donc de DN), mais nous avons un nouveau cas : les personnes utilisant Internet Explorer (11 ou Edge) peuvent valider plusieurs fois le formulaire de login (et créer des doublons du coup).
Ça fait nettement moins de cas (les mouvements d'annuaire sont plus fréquents que les double-validation du formulaire de login), mais ça arrive quand même.